江民4.24病毒播报:魔兽贼和克隆先生变种

4/24/2009来源:病毒数据库人气:4436

  江民今日提醒您注意:在今天的病毒中Trojan/PSW.WOW.lk“魔兽贼”变种lk和Packed.Klone.yk“克隆先生”变种yk值得关注。

  英文名称:Trojan/PSW.WOW.lk
  中文名称:“魔兽贼”变种lk
  病毒长度:22080字节
  病毒类型:盗号木马
  危险级别:★★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  md5 校验:9c3e8305c5f7effabfc7d7825b3e1928
  特征描述:
  Trojan/PSW.WOW.lk“魔兽贼”变种lk是“魔兽贼”盗号木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“魔兽贼”变种lk运行后,会读取注册表中“魔兽世界”的安装信息。释放恶意DLL组件游戏的安装目录下,重新命名为“WowInitcode.dat”(文件属性为“系统、隐藏”),并且会随游戏的启动而自动加载运行。“魔兽贼”变种lk是一个专门盗取“魔兽世界”网络游戏会员账号的木马程序,运行后会首先确认自身是否已经被插入到系统桌面程序“explorer.exe”和游戏进程“wow.exe”中。如果已经插入成功,就会通过安装消息钩子等方式来盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息,并在后台将窃取到的信息发送到骇客指定的远程服务器站点“http://www.ltcf*.cn/wow/la/2009/88888888”、“http://www.ltcf*.cn/wow/la/2009/waifu”、“http://www.ltcf*.cn/wow/la/sll/ms”上(地址加密存放),致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失,给游戏玩家造成了不同程度的虚拟财产损失。该木马甚至还会截获玩家输入的密保资料,因此当玩家发现密码被盗后,请千万不要在被感染的计算机上使用密码保护功能来试图找回密码,从而给自己造成更大的损失。“魔兽贼”变种lk安装完成后,会将自身移动到“%USERPROFILE%\Local Settings\Temp\”目录下重新命名保存为“wsasystem.gif”,以此隐藏痕迹。

  英文名称:Packed.Klone.yk
  中文名称:“克隆先生”变种yk
  病毒长度:689152字节
  病毒类型:木马
  危险级别:★
  影响平台:Win 9X/ME/NT/2000/XP/2003
  MD5 校验:d8856cbea3da12f67a552ac5fabce81e
  特征描述:
  Packed.Klone.yk“克隆先生”变种yk是“克隆先生”木马家族中的最新成员之一,采用高级语言编写,并且经过加壳保护处理。“克隆先生”变种yk运行后,会在被感染计算机系统的“%SystemRoot%\”目录下释放经过加壳保护的恶意程序“svchost.exe”。该程序冒用了“QQ”程序的企鹅图标,并以此诱骗用户点击运行。“克隆先生”变种yk运行时,会将恶意代码注入到新创建的“iexplorer.exe”进程中隐密运行。不断尝试与控制端(地址为:lin31129*.3322.org:8000)进行连接,一旦连接成功,则被感染的计算机便会沦为傀儡主机。骇客可以向被感染计算机发送恶意指令,从而执行任意操作(文件管理、进程控制、注册表操作、远程命令执行、屏幕监控、键盘监听、鼠标控制、视频监控等),给用户的个人隐私甚至是商业机密造成了不同程度的侵害。同时,骇客还可以向傀儡主机发送大量的恶意程序,从而对用户的信息安全构成了严重的威胁。另外,“克隆先生”变种yk会在被感染计算机中注册名为“svchost.exe”的系统服务,以此实现木马的开机自启。